Concept

Divulgation complète

Résumé
En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions. Des chercheurs bien intentionnés et des pirates informatiques découvrent souvent des défauts dans des logiciels. Ces défauts peuvent être exploités par les pirates informatiques pour provoquer des comportements anormaux des logiciels et ainsi nuire aux utilisateurs des logiciels. Ces défauts sont appelés des vulnérabilités informatiques. Le processus par lequel l'information sur ces vulnérabilités est partagée avec des tiers fait l'objet de nombreux débats et est désigné comme la politique de divulgation des vulnérabilités. Le but principal de la divulgation complète des vulnérabilités est de permettre que les victimes potentielles des vulnérabilités sont aussi informées que les pirates qui les attaquent. Dans son essai sur le sujet, Bruce Schneier a déclaré que « La divulgation complète - la pratique consistant à rendre publiques les vulnérabilités de sécurité - est une très bonne chose. L'examen public est le seul moyen fiable d'améliorer la sécurité, alors que le secret ne nous rend que plus vulnérables. Leonard Rose, cocréateur d'une liste de diffusion électronique qui a remplacé bugtraq pour devenir le forum de facto pour la diffusion d'avis de sécurité, mentionne que « nous ne croyons pas à la sécurité par l'obscurité et, de notre point de vue, la divulgation complète est la seule façon de s'assurer que tout le monde, et pas seulement les initiés, ont accès à l'information dont ils ont besoin. ». La controverse sur la divulgation publique d'informations sensibles sur les vulnérabilités n'est pas nouvelle. La question de la divulgation complète a d'abord été soulevée dans le contexte de la serrurerie, lors d'une controverse dans la communauté des serruriers au concernant la divulgation des faiblesses des systèmes de verrouillage.
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.